Le billet de blog du MSRC signalant la prochaine livraison de rustines est également l’occasion pour l’équipe sécurité de Microsoft de pointer du doigt l’édition d’un nouveau special Security Intelligence Report consacré à l’opération B107, un raid visant à éliminer le botnet Rustock. A télécharger sur la page des SIR.
Déjà , par le passé, Microsoft s’était attaqué à un tel réseau, dans le cadre d’une contre-attaque baptisée B49, et qui visait un botnet de faible importance, Waledac.
Rustock est un plus gros morceau, avec 1,3 million d’adresses IP infectées, 30 milliards de spam émis chaque jour au plus fort de son activité, en août-septembre de l’an passé. En moins d’une demi-heure, expliquent les rédacteurs du rapport, un ordinateur Rustockisé expédie plus de 1400 requêtes DNS visant des stations de travail et plus de 2200 à la recherche d’enregistrements MX, donc de serveurs de messagerie. Durant ce même laps de temps, le virus en profite pour expédier un spam auprès de 1300 serveurs de messagerie devant servir de relais et signale sa présence à près de 22 machines d’infrastructure de bot (C&C, serveurs de stockage, de mise à jour etc.). Achevons ce rapide descriptif pour rappeler que Rustock utilise des adressages par nom de domaine et fait appel à des outils de communication par réseau P2P, contrairement à Waledac qui reposait sur un adressage IP fixe et des liaisons directes. En outre, Rustock pouvait transiter par des serveurs de messagerie tels que Hotmail : force de frappe considérable, chiffrement par SSL, impossibilité de remonter à la source émettrice…
L’aventure de l’opération B107 se lit un peu comme un roman policier. Certains détails fleurent bon la procédure américano-américaine, et donnent à l’aventure un parfum qui rappelle les exploits d’Eliott Ness. La première phase de l’opération, par exemple, a consisté à déposer plainte contre X pour usurpation des marques Microsoft et Pfizer. Plainte pouvant ensuite faciliter les saisies de matériel, et notamment les disques des serveurs et de certaines stations infectées par Rustock.
Car Rustock faisait partie des armes appartenant aux « clans mafieux des cyber-pharmaciens », ceux-là même qui ont récemment connu quelques déboires avec le FSB Russe. L’arrestation récente de Pavel Vrublevsky, cyber-banquier patron de ChronoPay, co-directeur de Rx-Promotion (un des polluposteurs sous bannière Canadian Pharmacy), et la fuite de son associé Igor Gusev, autre « pharmacien Canadien » et spammeur notoire, le tout conjugué avec l’attaque anti-Rustock de Microsoft, ont porté un coup important à l’arsenal cybermafieux. De 230 milliards de spam quotidien durant l’été 2010, l’on est passé à « seulement » 40 milliards en juin de cette année. Chiffres issus d’une récente étude publiée par Symantec. La fuite d’Igor Gusev, alias Spammit, le démantèlement de Rustock, les coups de filet du FSB se « lisent » sur la courbe saisonnière tracée par l’éditeur d’antivirus Américain.
Certes, si les chiffres et les affirmations provenaient d’organismes neutres et officiels, la chose n’en aurait que plus de valeur. Les rapports des polices tant Russes que des Etats-Unis, de France, d’Italie et autres pays d’Europe ayant participé à cette opération sont rares, voir totalement vides de données exploitables. Un détail qui dérange, qui montre les éditeurs sous les dehors flatteurs de redresseurs de torts, de justiciers irréprochables. Trop beau pour être vrai à 100% …